ISACA про APT

1. ISACA про APT
Прозоров Андрей
2014-05

3. APT: термин NIST
Advanced Persistent Threats (APT) – An adversary that possesses sophisticated levels of
expertise and significant resources which allow it to create opportunities to achieve its
objectives by using multiple attack vectors (e.g., cyber, physical, and deception).
These objectives typically include establishing and extending footholds within the
information technology infrastructure of the targeted organizations for purposes of
exfiltrating information, undermining or impeding critical aspects of a mission, program,
or organization; or positioning itself to carry out these objectives in the future.
The advanced persistent threat: (i) pursues its objectives repeatedly over an extended
period of time; (ii) adapts to defenders’ efforts to resist it; and (iii) is determined to
maintain the level of interaction needed to execute its objectives.
Преследуют свои
цели неоднократно в
течение длительного
периода времени
Адаптируются к
мерам защиты, чтобы
противостоять им
Прилагают
необходимые усилия
для достижения
своих целей
APT

4. APT: термин ISACA
An APT is a threat that is advanced and persistent
• Угрозы «Продвинутые» (профессиональные),
т.е. злоумышленник обладает необходимыми
ресурсами, опытом и знаниями
• Угрозы «Упорные»/«Настойчивые»,
т.е. атака может вестись продолжительное
время, адаптируется к контрмерам (мерам
защиты) и направлена на достижение цели

5. Материалы ISACA про APT
• «APT: How to manage the risk to your
business»
• «Transforming Cybersecurity: Using COBIT 5»
• «Responding to targeted cyberattacks»
• Отчет «Advanced Persistent Threat
Awareness. Study Results» (2013)
https://www.isaca.org

6. Эволюция ландшафта угроз
ISACA

7. APT: Чего боятся компании?
ISACA

8. APT: Источники угроз
ISACA

9. APT: Атаки по отраслям (2012)
ISACA

10. APT: Управление риском
ISACA

11. APT: Что надо для защиты
Management Process Key Measures to Mitigate APT Attacks
1. Information security management
system (ISMS)
2. Risk management process,
3. People security
4. Physical security
5. Network architecture
6. Network management
7. Malware detection
8. Computer platform management
9. Application access control
10.System development and
maintenance
11.Incident reporting process
12.Business continuity management
13.Crisis management
1. Coordinated Risk Assessment and
Response
2. Asset Management
3. Least-privilege Access
4. Network Segregation
5. Vulnerability Management
6. User Education
7. Technology to Mitigate APT Attacks
ISACA

12. APT: Стадии атаки
1. Выбор цели
2. Анализ цели
3. Проникновение
4. Управление и
контроль
5. Обследование
цели
6. Добыча данных
7. Распространение
сведений
8. Эксплуатация
информации
ISACA
Меры защиты и реагирования
выбираются с учетом стадии атаки

13. APT: Жизненный цикл
1. Сбор информации
2. Начало атаки
3. Управление и
контроль
4. Повышение
привилегий
5. Добыча данных
ISACA

14. APT: Уровни защиты
ISACA

15. APT: Команда реагирования
CSIRT - computer security incident response team
ISACA

16. Управление инцидентами по NIST
Подготовка Выявление и
анализ
Сдерживание,
искоренение
проблемы и
восстановление
Дальнейшие
действия

17. APT: Реагирование на инциденты
ISACA

18. Это были базовые
идеи ISACA по теме
APT. Надеюсь, что
стало чуть
понятнее…